首页 » Mac SCEP
立即购买
分类筛选
x

简单证书注册协议(SCEP)

简单证书注册协议(SCEP) 是用于证书管理的协议标准。SCEP 主要用于基于证书的身份验证,通过证书来访问诸如 Wi-Fi、VPN 以及通过加密保护电子邮件等服务。

基于证书的身份验证的主要优势有:

  • 零用户干预,因为用户通过证书进行身份验证。
  • 安全的网络通信,因为数据通过证书进行加密和身份验证。

然而,手动分发证书对于大型组织的 IT 管理员来说是一项繁琐的任务。SCEP 帮助网络管理员轻松安装设备中的证书。SCEP 提供了一种简化且可扩展的方法来处理大型组织中的证书。证书和 SCEP 的区别在于,SCEP 策略用于向设备分发客户端证书,而证书策略分发 CA 证书给设备。

设备直接与 SCEP 服务器通信来生成证书,因此确保设备可以访问 SCEP 服务器。SCEP 服务器不必可被 MDM 访问。

前提条件

配置证书模板
  1. 点击 开始 菜单,选择 运行,输入 mmc 并点击确定。
  2. 点击 文件 并选择 添加/删除管理单元...选择 证书模板,点击 添加 然后点击 确定.

    3. Mobile Device Manager Plus MSP - MSP 移动设备管理    pdf 图标

  3. 右键点击 证书模板 并选择 管理.
  4. 点击 用户 并选择 复制模板.

    5. scep_1

  5. 指定一个 模板显示名称 并点击保存 确定.

    6. scep_2

  6. 点击 扩展,选择 应用程序策略。点击 编辑 并选择 客户端身份验证,将其添加到应用程序策略中。

    7. scep_3  scep_4  scep_6  scep_7

  7. 点击 密码学 并指定 最小密钥大小。推荐的密钥大小为2048,因为它增强了安全性。配置 MDM 中的 SCEP 时需指定此密钥大小。

    8. scep_9

  8. 点击 安全性 并选择应用该策略的组。确保 注册 对所选域是允许的权限。

    9. scep_10

  9. 点击 主题名称 并选择 请求中提供,用于在证书请求中指定主题名称。

    10. scep_11

将证书模板映射到 SCEP
  1. 在 Microsoft 管理控制台(MMC)中添加证书颁发机构作为管理单元。

    2. scep_12    scep_13

  2. 展开 证书颁发机构 并右键点击 证书模板。点击 新建 并选择 证书模板进行发布.

    3. scep_14

  3. 选择之前创建的证书模板,然后点击确定。

    4. scep_15    scep_16

    若要更改 Microsoft NDES 使用的默认证书模板,需要修改 Windows 注册表值。

  4. 点击 开始 菜单,选择 运行,输入 regedit 并点击确定。
  5. 展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP。
  6. 右键点击 Encryption Template 并点击 修改.

    7. scep_17

  7. 数值数据指定创建的证书模板名称。对 GeneralPurposeTemplateSignatureTemplate重复相同操作。更改后重启服务器机器以使修改生效。

    8. scep_18

防止挑战密码过期

    如果您正在使用挑战密码(推荐),则必须修改注册表值以防止挑战密码过期。

    1. 打开 regedit 并展开 HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword。
    2. 右键点击 UseSinglePassword 并将 数据 值更改为 1。

      3. scep_19

配置完成后,重启 NDES 服务器。

在 MDM 中配置 SCEP

  1. 主题的值应采用 LDAP DN 格式,如 此处
  2. 所示。 您可以通过以下地址验证服务器详细信息,如注册挑战密码:https://<your-server>/CertSrv/mscep_admin
https://<Your-Server>/crtsrv/mscep/mscep.dll 配置规范
描述 SCEP 配置名称
用户定义的配置名称,用于在其他配置中引用该配置,如 Wi-Fi、VPN 等。
SCEP 设置 服务器 URL
指定设备用于获取证书的 URL。如果 SCEP 服务器位于组织内部网络且未暴露到外部网络,则提供 HTTP 服务器 URL。证书请求通过该 URL 进行。 对于NDES ,服务器 URL 格式为:
https://<your-server>/CertSrv/mscep/mscep.dll 证书颁发机构名称
指定颁发证书的证书颁发机构名称。 主题
指定用于映射设备相应详细信息的内容(%username%,%email%,%domainname%,%devicename%)。 主题备用名称类型
指定备用名称类型(RFC 822 名称,DNS 名称,统一资源标识符)。 主题备用名称类型值 (仅当配置了主题备用名称类型时可配置)
指定备用名称类型的值。 NT 主体名称
指定组织中使用的 NT 主体名称。 最大失败尝试次数
从 CA 获取证书的尝试次数。 尝试间隔时间
两次尝试获取证书之间的等待时间。 挑战类型
由 CA 提供的预共享秘钥,增加额外的安全层。 注册挑战密码 此处.
提供用于注册的挑战密码。挑战密码的识别方式如 所述。
密钥大小 指定钥匙是 1024 还是 2048 位。
用作数字签名 启用后确保证书可用作数字签名。
用于密钥加密

    启用后确保证书可用于密钥加密。

    < Previous

    跳转至